适用于 Elastic Beanstalk 的 Security Hub 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Elastic Beanstalk 的 Security Hub 控件

这些 Amazon Security Hub 控制措施评估 Amazon Elastic Beanstalk 服务和资源。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2

分类:检测 > 检测服务 > 应用程序监控

严重性:

资源类型:AWS::ElasticBeanstalk::Environment

Amazon Config 规则:beanstalk-enhanced-health-reporting-enabled

计划类型:已触发变更

参数:

此控件可检查 Amazon Elastic Beanstalk 环境是否启用了增强型运行状况报告。

Elastic Beanstalk 增强型运行状况报告功能可以更快地响应底层基础设施运行状况的变化。这些变更可能会导致应用程序的可用性不足。

Elastic Beanstalk 增强的运行状况报告提供了状态描述符,用于衡量已发现问题的严重性并确定可能的原因以进行调查。支持的亚马逊系统AMIs映像 () 中包含的 Elastic Beanstalk 运行状况代理用于评估环境实例的日志和指标。EC2

有关更多信息,请参阅 Amazon Elastic Beanstalk 开发人员指南中的增强型运行状况报告和监控

修复

有关如何启用增强型运行状况报告的说明,请参阅 Amazon Elastic Beanstalk 开发人员指南中的使用 Elastic Beanstalk 控制台启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

相关要求:NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5)、v4.0.1/6.3.3 NIST NIST PCI DSS

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::ElasticBeanstalk::Environment

Amazon Config 规则:elastic-beanstalk-managed-updates-enabled

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

UpdateLevel

版本更新级别

枚举

minor, patch

无默认值

此控件检查是否为 Elastic Beanstalk 环境启用了托管平台更新。如果未启用托管平台更新,则控制失败。默认情况下,如果启用了任何类型的平台更新,则控制才会通过。或者,您可以提供自定义参数值以要求特定的更新级别。

启用托管平台更新可确保为环境安装最新的可用平台修补程序、更新和功能。及时安装补丁程序是保护系统安全的重要一步。

修复

要启用托管平台更新,请参阅《Amazon Elastic Beanstalk 开发人员指南》中的在托管平台更新下配置托管平台更新

[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch

相关要求:PCIDSSv4.0.1/10.4.2

类别:识别 > 日志记录

严重性:

资源类型:AWS::ElasticBeanstalk::Environment

Amazon Config 规则:elastic-beanstalk-logs-to-cloudwatch

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

RetentionInDays

日志事件在到期前保留的天数

枚举

1, 3, 5, 7, 14, 30, 60, 90, 120, 150, 180, 365 , 400, 545, 731, 1827, 3653

无默认值

此控件检查 Elastic Beanstalk 环境是否配置为向日志发送日志。 CloudWatch 如果 Elastic Beanstalk 环境未配置为向日志发送日志,则控制失败。 CloudWatch 或者,如果您希望仅当日志在到期前保留指定天数时控制才通过,则可以为 RetentionInDays 参数提供自定义值。

CloudWatch 帮助您收集和监控应用程序和基础设施资源的各种指标。您还可以使用 CloudWatch 根据特定指标配置警报操作。我们建议将 Elastic Beanstalk 与集成,以提高您的 Ela CloudWatch stic Beanstalk 环境的可见性。Elastic Beanstalk 日志包括 eb-activity.log、来自环境 nginx 或 Apache 代理服务器的访问日志以及特定于环境的日志。

修复

要将 Elastic B CloudWatch eanstalk 与日志集成,请参阅开发者指南中的将实例日志流式传输到 CloudWatch 日志。Amazon Elastic Beanstalk